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METHODE DE GESTION DE LA SfeCURIT^ D' APPLICATIONS AVEC UN 

MODULE DE SECURITE. 

La presente invention concerne le domaine des reseaux mobiles appeles aussi 
reseaux cellulaires. Elle concerne plus particulterement la gestion de la securite des 
5 applications mises en oeuvre avec un module de securite associ6 3 un equipement 
mobile de telephonie mobile. 

Le module de securite d'un telephone mobile ou portable est connu sous 
Tappellation "carte SIM" (Subscriber Identity Module) constituant l'6lement central 
de la securite de ces telephones. L'op6rateur de t6lephonie introduit, a la fabrication 

10 et/ou lors d'une phase de personnalisation, un numero appele IMSI (International 
Mobile Subscriber Identification) servant a identifier d'une maniere sure et unique 
chaque abonn6 d6sirant se connecter sur un reseau mobile. Chaque telephone 
mobile, appele equipement mobile ci-apres, est identifie physiquement par un 
numero stocke dans une memoire non volatile de I'equipement mobile. Ce num6ro, 

15 appele IMEI, (International Mobile Equipment Identifier) contient une identification 
du type d'equipement mobile et un numero de serie servant a identifier de maniere 
unique un equipement mobile donn6 sur un r6seau du type GSM (Global System for 
Mobile communications), GPRS (General Packet Radio System) ou UMTS 
(Universal Mobile Telecommunications System). De plus, un equipement mobile est 

20 caracteris§ par une version de logiciel SVN (Software Version Number) indiquant 
I'etat de mise a jour du logiciel de base installe sur I'equipement mobile. La 
combinaison de Tidentification du type et du numero de serie de I'equipement 
mobile avec la version de logiciel (SVN) donne une nouvelle identification, appelee 
IMEISV (International Mobile Equipment Identifier and Software Version Number). 

25 Le m§me concept dMdentification s'applique egalement au WLAN (Wireless LAN) ou 
au cable TV bidirectionnel. L'identifiant physique peut §tre une adresse MAC (Media 
Access Control) qui correspond & Tadresse unique identifiant la configuration du 
materiel d'un utilisateur sur un reseau IP (Internet Protocol) et la version de logiciel 
peut §tre transmise par des protocoles de couche superieure bases sur IP. 

30 Les normes ETSI ("European Telecommunications Standards Institute"), definissent 
une station mobile (MS, mobile station) composee d'un Equipement mobile (ME, 
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* mobile equipment) et d'un module d'abonne (SIM, subscriber identity module). Ce 
module d'abonne est en general amovible c'est-a-dire qu'il peut etre soit retire soit 
transfere d'un equipement mobile a un autre. 

Lors de la mise en service d'un equipement mobile, plus particulierement lors de sa 
5 connexion au reseau d'un operateur, des informations comprenant les donnees 
d'identification sont 6chang6es entre I'equipement mobile et le centre de gestion de 
I'operateur qui autorise ou non son utilisation. 

Le document EP0757502 decrit une methode de verrouillage d'un module 
d'identification d'utilisateur lorsque I'identificateur physique de I'equipement mobile 

10 IMEI se trouve sur une liste noire. Lorsque I'equipement mobile se connecte au 
reseau mobile, il transmet I'identificateur IMEI a un centre de gestion. Ce dernier 
verifie par comparaison I'identificateur regu avec le contenu d'une base de donnee 
ou I'operateur enregistre les identificateurs d'equipements mobiles voles ou 
defectueux. Si un identificateur regu est present dans cette base de donnees, le 

15 centre de gestion transmet un message contenant une commande de blocage a 
I'equipement mobile concerne. Cette commande, apres verification de son 
authenticite, est transmise au module d'identification qui execute une procedure de 
verrouillage empechant toute connexion ulterieure de I'equipement mobile au 
reseau. 

20 Le document US5864757 decrit une methode d'activation d'un combine mobile avec 
un module d'abonne basee sur I'utilisation d'une cle propre au combine produisant 
un code correspondant a un identifiant du module d'abonne. Le combine inclut une 
cie unique inviolable. Lors de son activation, le centre de gestion de I'operateur 
transmet un message au combine servant a calculer une cI6 specifique a I'operateur 

25 en utilisant la cle unique du combine. Cette nouvelle cle est utilis6e en combinaison 
avec un identificateur du reseau ou du module d'abonne pour generer un mot de 
controle qui est confronte avec un code stocke dans le module d'abonne. Si le mot 
de controle concorde avec le code du module d'abonne, le combine est active. 

Les methodes decrites dans ces deux documents traitent exclusivement d'aspects 
30 necessitant une identification physique de I'equipement mobile basee par exemple 
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sur Tidentificateur IMEI. Lorsque ces methodes sont mises en oeuvre, leurs effets se 
concentrent uniquement sur le blocage / d^blocage du module d'abonne et/ou de 
I'equipement mobile de manure a empecher toute connexfon de I'equipement 
mobile au r&seau. 

Actuellement un equipement mobile offre a I'utilisateur, en plus de sa fonction 
usuelle d'etablissement de conversations t6l6phoniques par le biais d'un acces a un 
reseau mobile, I'utilisation de nombreux autres services suppl6mentaires a valeur 
ajoutee tels que la consultation de diverses informations, les operations bancaires a 
distance, le commerce electronique, I'acces a du contenu multimedia, etc. Ces 
services 6volu6s necessitent un niveau de securite de plus en plus 6leve afin de 
premunir les utilisateurs contre les fraudes §ventuelles caus6es par des tiers 
cherchant a exploiter des failles de securite qui peuvent apparaTtre sur les 
equipements mobiles. 

Une verification devient done necessaire au moins a deux niveaux: d'une part au 
niveau de requirement mobile lui-meme et d'autre part a celui des applications 
logicielles permettant le fonctionnement des differents services proposes par 
I'op^rateur ou par des parties tierces. II s'agit de garantir que le module d'abonne 
fonctionne seulement avec un equipement mobile de type et de version de logiciel 
dument autoris6 ou homologue par Toperateur et/ou par les fournisseurs 
duplications. Par fonctionnement du module d'abonne, on entend sa capacite de 
permettre I'utilisation de services sollicites par un utilisateur en executant un certain 
nombre duplications logicielles pr§alablement installees dans une memoire de 
['equipement mobile et qui se servent du module d'abonne comme moyen de 
protection. 

Ces applications executes dans Tequipement mobile utilisent des ressources 
disponibles dans le module d'abonn6. Par ressources, on entend diverses fonctions 
et donn6es n6cessaires au bon fonctionnement d'une application. Certaines de ces 
ressources peuvent etre communes a plusieurs applications, notamment les 
fonctions liees a la securite. Le module d'abonne peut ainsi bloquer ou alterer le 
fonctionnement de certaines applications pour lesquelles les conditions de securite 
etablies par Toperateur et/ou les fournisseurs duplications ne sont pas respectees 
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dans Tequipement mobile en question ou les droits de I'utilisateur de I'equipement 
mobile sont insuffisants. 

Les documents cites ci-dessus ne couvrent pas les aspects logiques relatifs a un 
ensemble d'equipements mobiles comme par exemple des informations relatives a 
5 des applications logicielles installees, un numero de version de logiciel ou encore 
une reference de type ou de modele de I'equipement mobile, etc. II s'agit done de 
disposer d'une methode de gestion ciblee des ressources du module d'abonne afin 
d'activer / desactiver d'une maniere selective des applications ou des fonctions 
duplications utilisant ces ressources. II n'est toutefois pas souhaitable que ces 
10 operations empechent I'equipement mobile d'acceder au reseau en bloquant 
totalement le module d'abonne. 

Le but de la presente invention est de proposer une methode de gestion de la 
securite de I'ensemble equipement mobile, module d'abonne, applications afin de 
limiter les risques lies au fait qu'un module d'abonne soit utilise a mauvais escient 
15 par des applications executees sur un equipement mobile de type et/ou de version 
de logiciel ne remplissant pas certains criteres de securite preetablis. 

Un autre but est de proteger Tutilisateur de P6quipement mobile ainsi que les 
fournisseurs duplications concernes contre les abus resultants d'un clonage de 
Tequipement mobile et/ou du module d'abonne. 

20 Ces buts sont atteints par une m§thode de gestion de la securite d'applications 
fonctionnant dans un equipement connecte a un reseau, ledit reseau etant 
administre par un serveur de controle d'un operateur, lesdites applications utilisant 
des ressources (donnees ou fonctions) stock6es dans un module de securite relie 
localement audit equipement, comprenant les etapes preliminaires suivantes: 
25 • reception de donnees comprenant au moins le type et la version de logiciel de 
Tequipement et Tidentite du module de securite, via le reseau, par le serveur de 
controle, 

• analyse et verification par le serveur de controle desdites donnees, 
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• generation d'un cryptogramme a partir du resultat de la verification sur lesdites 
donnees, et transmission dudit cryptogramme, via ie reseau et I'equipement, au 
module de securite, 

ladite m6thode est caracteris6e en ce que le module de securite analyse le 
5 cryptogramme regu et active, respectivement desactive des ressources (donnees ou 
fonctions) utilisees par au moins une application instance dans I'equipement, ledit 
cryptogramme comprenant des instructions conditionnant le fonctionnement de 
I'application selon des criteres preetablis par le fournisseur de ladite application 
et/ou I'operateur et/ou Tutilisateur de I'equipement. 

10 Les ressources du module d'abonne sont bloquees de maniere ciblee, ceci dans le 
but de bloquer ou reduire la fonction de certaines applications. On ne bloque pas 
directement des applications de P6quipement: on agit de maniere indirecte sur les 
applications, c'est-a-dire que I'effet de blocage va se manifester uniquement lorsque 
I'equipement essaiera d'executer ces applications. 

15 Cette methode s'applique de preference au reseau mobile. Par consequent, 
I'equipement est un equipement mobile, comme par exemple un equipement de 
telephonie mobile ou telephone portable. Le module de securite est un module 
d'abonne insere dans le telephone portable du type carte SIM (subscriber identity 
module). Cet ensemble se connecte a un reseau mobile du type GSM (Global 

20 System for Mobile communications), GPRS (General Packet Radio System), UMTS 
(Universal Mobile Telecommunications System) ou autre, gere par un serveur de 
controle d'un operateur. Des applications logicielles sont installees dans 
requipement mobile et configurees de maniere £ utiliser des ressources (donnees 
ou fonctions) presentes dans le module d'abonne. Elles ne peuvent done etre 

25 utilisees dans leur integrite seulement si les conditions de securites sont satisfaites 
selon des criteres preetablis par I'operateur et/ou le fournisseur d'applications. Cette 
verification des criteres est £ la charge du serveur de controle. [.'application, suite 
aux instructions envoy6es par le serveur de controle, est finalement a la charge du 
module de securite qui peut laisser libre ou bloquer I'acces a des ressources 

30 necessaires au bon fonctionnement d'une application installee dans I'equipement 
mobile. 
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Les donnees de ces ressources peuvent comprendre des informations tels que 
numero de comptes, des programmes (sous forme de code pouvant etre install^ 
dans requipement mobile), des cl6s d'encryption/decryption, des droits d'acces a du 
contenu, etc. 

5 Les fonctions de ces ressources peuvent comprendre des algorithmes 
cryptographiques, des processus de verification, des processus de generation de 
signatures digitales, des processus d'encryptage, des processus d'authentification, 
des processus de validation de donnees, des processus de controle d'acces, des 
processus de sauvegarde de donnees, des processus de paiement etc. 

10 Le serveur de controle joue un role essentiel en gerant les elements de confiance 
ou de securite lies a I'ensemble equipement mobile / module abonne. II interprete 
les donnees qui lui sont transmises par I'equipement mobile afin de controler ou 
limiter I'utilisation duplications, fonctions ou ressources disponibles au moyen du 
module d'abonne. 

15 Le serveur recevant les informations d'identite d'un equipement mobile et de son 
module d'abonne et comprenant IMMEISV et I'lMSI decide, selon certains criteres, si 
une nouvelle instruction doit etre envoyee au module d'abonn6 pour redefinir un 
nouveau profil de protection d6finissant les ressources du module d'abonne pouvant 
etre utilisees par les applications executees dans Tequipement mobile. Les criteres 

20 peuvent se referer, par exemple, a la mise a jour de la version de logicie! installee 
sur Tequipement mobile, au telechargement de nouvelles applications sur 
Tequipement mobile, & la p6riode de mise a jour du profil de protection, au nombre 
de connexions au reseau, a la technologie utilisee pour I'acces au reseau, a 
ridentite du reseau d'acces utilise, lis sont egalement lies a differents risques 

25 associes au materiel ou aux logiciels utilises que roperateur et/ou le fournisseur 
d'applications et/ou I'utilisateur de l'6quipement mobile desirent prendre en compte. 

La methode selon Tinvention s'execute generalement lors de chaque connexion de 
requipement mobile au reseau ou apres chaque mise a jour de la version de logiciel 
de requipement mobile ou de celle du module d'abonn§ ou encore de celle de 
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ressources sur le module d'abonne. Elle peut egalement etre executee lors de 
chaque activation ou deactivation d'une application sur I'equipement mobile. 

Selon une variante, elle peut etre executee periodiquement a un rythme donne par 
le serveur de contrdle ou apres chaque demarrage d'une application sur 
5 I'equipement mobile. Selon une autre variante, le module d'abonne ne va pas 
recevoir un nouveau message du centre de controle tant que I'identifiant IMEISV de 
I'equipement mobile demeure inchange. 

Lors de la re-initialisation du module d'abonne, il est preferable de bloquer un 
certain nombre de ressources jusqu'a I'arrivee du cryptogramme. Ainsi, si 

10 I'equipement mobile veut intercepter le cryptogramme et ne pas le transmettre au 
module abonn<§, tout ou partie des ressources (donnees ou fonctions) du module 
d'abonne ne seront pas disponibles pour les applications executees dans 
I'equipement mobile. Selon le type de realisation, il est possible que certaines 
ressources du module d'abonne utilisees par des applications d'un bas niveau de 

15 securite, soient mises en fonction par defaut avant I'arrivee du cryptogramme. Ceci 
est egalement le cas pour des ressources necessaires a I'obtention de I'acces au 
r§seau, sans quoi renvoi du cryptogramme ne serait pas possible par ce meme 
reseau. 

Lorsque le module d'abonne verifie la validite du cryptogramme, il identifie aussi de 
20 maniere indirecte I'equipement mobile et s'assure que les donnees viennent 
effectivement du serveur de contrdle. Autrement dit, par ce cryptogramme, le 
serveur de controle donne implicitement I'assurance au module d'abonne que le 
type et la version de logiciel de I'equipement mobile ont ete pris en compte avant de 
transmettre des instructions au module abonne. Ces dernieres sont, de ce fait, 
25 chargees, le cas echeant, de donner ou refuser I'autorisation d'utilisation complete 
ou partielle de certaines applications de I'equipement mobile. 

L'equipement mobile joue un rdle de relais dans cette §tape de verification en 
etablissant un dialogue quasi direct entre le module d'abonne et le serveur de 
contrdle. Ainsi la securite des messages echanges est assuree de bout en bout 
30 entre le serveur de contrdle et le module d'abonne via I'environnement d'execution 
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des applications mises en ceuvre sur I'equipement mobile. Celui-ci ne peut done pas 
"tricher" ou transformer les donnees vis-^-vis du module d'abonne. 

La presente invention concerne egalement un module de securite comprenant des 
ressources destinees 3 etre localement accedees par au moins une application 
installee dans un equipement relte a un reseau, ledit equipement comprenant des 
moyens de lecture et de transmission de donnees comprenant au moins le type et la 
version de logiciel de I'equipement et I'identifiant du module de s6curite, ledit 
module etant caracterise en ce qu'il comprend des moyens de reception, d'analyse 
et d'execution destructions contenues dans un cryptogramme lesdites instructions 
conditionnant le fonctionnement de 1'application selon des criteres preetablis par le 
fournisseur de ladite application et/ou I'operateur et/ou I'utilisateur de I'equipement 

Ce module de s6curite est utilise par exemple comme module d'abonne ou carte 
SIM connecte a un equipement mobile. 

L'invention sera mieux comprise grace & la description detaillee qui va suivre et qui 
se refere aux figures annexees donnees a titre d'exemple nullement limitatif, a 
savoir: 

La figure 1 illustre un schema bloc montrant les differentes parties de 
I'equipement mobile et du serveur mises a contribution lors de Techange des 
donnees d'identification et du cryptogramme. 

La figure 2 represente un schema bloc de I'ensemble equipement mobile / 
module abonne avec les interactions entre les differentes parties lors du 
fonctionnement d'une application. 

La figure 1 montre I'ensemble equipement mobile (CB) et module d'abonne (SIM) 
qui transmet via un r§seau mobile (NET) des donn6es d'identification (ID) que le 
serveur de controle (CSE) verifie. Ce dernier renvoie un cryptogramme (J) vers le 
module d'abonne via I'equipement mobile (CB). L'equipement mobile (CB) inclut une 
ou plusieurs applications logicielles (APP) fonctionnant dans un environnement 
d'execution (AEE). Ces applications proviennent soit d'un fournisseur d'applications 
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(FA) associe au serveur de contrWe (CSE) da .'operateur, soit, e„as son. 
programmes d'origine par la fabrioant de I'equipemen. mobi.e. 
Le modula d'abonne indu. das rassouroas (RES) utilises par las applications 
logicielles (APP). 

La f,gure 2 monfre que ,e ,onc«onnemen. des applications (APP) de I'equipemen, 
11 (CB) depend directemen. das ressources (RES) disponlbles dans ,e modu a 
Ibonna. En .-absence de ressources adequate, .'application peut, so na pas 
demarrar soit fonctionner de facon .res limits avec das parametras par defaut 
pel: gene.r des messages d'erreur invitan, I'u.illsa.eur . accompl, das acbons 
correctives nScessaires comme par example changer d'equrpement mobile (CB) ou 
de module d'abonne (SIM). 

U'Squipement mobile (CB) s'identme. par exemple lors de chaque , requ«e da 
connexion au rasaau, au serveur de contrOla (CSE) via ,e reseau - > (NET en 
transma^n. da preference des informations specifies a un 
,ME,SV (,n.erna«ona, Mobile Equipment Identity and Software V*~ , N«£fl £ 
un coda propre a un module d'abonne: IMS. (International Mob,le Subscribe 
denTty) e premier numaro .MEISV est una suite de 16 chiffres contena* 
nTm!, un code d'bomo,oga,,on du fabrioant de ,'equipament mobile un numa o 
da serte idan«an, pbysiquaman, .'equlpemen. mobile de man.ere un.qu eUa 
version de logiciel inatal.ee sur ,'equipeman, mobi,e en question Le seco dnumen, 
,MSI est une suite de 15 chiffres e. comprend un code atfnbue par loperataur 
up* duqua. un udlisateur a soused, un abonnamen, permettan. d,den.*er un 
abonne de manlera unique. Pour des equlpaments mobiles rea ses salon das 
normas an.erieuras Stabiles par ETS, (European Ta.acommunica ^ * 
institute), la combinaison du numaro IME. compose d'une su„a de 15 ch,ffres et 
null SVN compos, d'une suite de 2 chiffres fourni, .galement las informal 
necessaires a la realisation de la mSthode. 

Lors da .'identmcation d'un aquipemen. mobila, la serveur de contr6le (CSE) 
analyse a. verifle las donnaes (ID) transm.ses en las confront, avec ,a oonten 
, d'une liste noire (donnaes * renter, ou d'une ,is.a bianche (donnees acceptees). 
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Une base de donnees permet d'affiner, si necessaire, Identification d'un abonn6 et 
de determiner ses particularities telles que services autorises, paiements de 
I'abonnement et/ou des services effectues ou non, periode d'abonnement, profil de 
security assocte a I'equipement mobile utilise, applications installees sur 
5 I'equipement mobile, ressources disponibles sur le module de s§curite, preferences 
de Tutilisateur de I'equipement mobile, etc. Les r§sultats de cette verification sont 
ensuite utilises dans le but de determiner un cryptogramme, appele jeton (J), que le 
serveur de controle (CSE) transmet a I'equipement mobile (CB). II est a noter que le 
serveur de controle (CSE) peut etre distinct de I'operateur mobile et la requete 
10 provenant d'un equipement mobile sera acheminee vers cette autorite de controle. 

L'environnernent d'execution duplications (AEE) de I'equipement mobile (CB) 
transmet le jeton (J) tel quel, sans I'alterer, au module d'abonne, I'equipement 
mobile (CB) jouant un role de relais uniquement. 

Si le jeton (J) est valable, le module d'abonne peut lib£rer, respectivement bloquer 
15 certaines ressources (RES). La ou les applications (APP) peuvent ainsi s'executer 
selon les criteres imposes par le serveur de controle (CSE). En effet, le jeton (J) 
inclut ou est accompagne destructions particulteres a destination du module 
d'abonne qui peuvent conditionner le fonctionnement de Tune ou I'autre des 
applications (APP) de I'equipement mobile (CB). Par exemple Texecution de 
20 transactions financieres peut etre limitee lorsque l'abonn6 se trouve etre connecte a 
un autre reseau que celui aupres duquel il est abonne, par exemple dans un pays 
different de celui de son domicile (roaming) en raison de certains criteres de 
securite ou de preferences de I'abonne ou de preferences du fournisseur du service 
financier ou de contraintes I6gales en vigueur dans le pays en question. Dans un 
25 autre cas, lorsqu'un module d'abonne est insere dans un equipement mobile (CB) 
non reconnu ou non homologue par I'operateur, le jeton (J) retourne par le serveur 
de controle (CSE) peut bloquer des ressources (RES) du module d'abonne et, de ce 
fait empecher ou alterer, I'execution de ou des applications (APP). 

Dans le cas d'un possible clonage de I'equipement mobile (CB) et/ou du module 
30 d'abonne (SIM), les resultats de la verification avec la base de donnees 
comporteront des instructions dependant des risques que I'operateur accepte de 
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prendre avec des telephones mobiles clones. Par exemple, le jeton (J) genere en 
consequence peut soit bloquer toutes les ressources (RES) du module d'abonne, 
soit limiter leur utilisation dans le temps et/ou creer un message d'avertissement a 
I'abonne via I'environnement d'execution des applications (AEE). 

5 Le jeton (J) peut etre par exemple associe a une signature generee a I'aide d'une 
cle privee RSA, (Rivest, Shamir, Adelman) K RS A_pri a partir d'un ensemble de 
donnees contenant, par exemple, I'lMSI, IMMEISV, les references des ressources du 
module d'abonne, un compteur. Cette cle ne serait connue que du serveur de 
controle, alors que sa partie publique K RS A_piib serait connue du module d'abonne. 
10 L'avantage de I'utilisation de cles asymetriques reside en ce que la cl6 servant a 
creer des signatures ne se trouve pas a I'exterieur du serveur de controle (CSE). 

Bien entendu, d'autres algorithmes 3 cl6s asymetriques tels que par exemple DSA 
(Digital Signature Algorithm), et ECC (Elliptic Curve Cryptography) peuvent 
constituer des alternatives a RSA. 

15 L'usage d'algorithme a cles symetriques peut etre prefere pour des raisons de 
simplicity, de rapidite des verifications ou de couts de fabrication et de mise en 
ceuvre plus faibles. Dans ce cas, la cle serait connue du serveur (CSE) et du 
module d'abonne, par exemple un algorithme IDEA (International Data Encryption 
Algorithm) pourrait etre utilise pour signer Tensemble (IMSI, IMEISV, references des 

20 ressources da le module d'abonne, compteur). Comme alternative a I'algorithme 
IDEA, des algorithmes tels que, par exemple, TDES (Triple Data Encryption 
Standard) et AES (Advanced Encryption Standard) peuvent aussi etre utilises. 

Dans ces deux variantes a cles asymetriques et symetriques, le module d'abonne 
verifie la concordance des differents champs apparaissant dans le jeton (J), 
25 notamment elle controle le compteur (CPT) en le comparant avec un compteur 
correspondant memorise dans la carte qui est r6gulierement maintenu a jour. Ce 
compteur permet d'eviter le double usage d'un meme jeton (J) adresse au module 
d'abonne afin d'empecher une attaque par repetition (replay attack). 

Une variante au compteur est d'utiliser un al6a (nombre aleatoire) g§nere par le 
30 module d'abonne. Cet alea est transmis avec les donnees envoyees au serveur de 
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controle. Ce dernier renvoie cet alea dans le cryptogramme de reponse et le module 
d'abonne peut verifier qu'il s'agit bien d'un nouveau message. Plus g6neralement, 
afin d'6viter tout risque d'usage d'un ancien cryptogramme, ce dernier comprend 
une variable predictibie par le module d'abonne, soit un compteur ou un alea. 

5 Le module d'abonne consid^re aussi les references des ressources (RES) dont il 
autorise ou non Putilisation par les applications executees dans I'equipement mobile 
(CB). 

Le module d'abonne ne connaTt pas en tant que telle les references duplications 
(APP) installees dans I'equipement mobile (CB). En effet, certaines applications plus 
globales possedent une interface relativement ouverte qui leur permet d'etre 
utilis6es par n'importe quelles applications secondares externes. Par exemple, sur 
une application generate de paiement peuvent se greffer des applications 
particulieres en fonction du mode de paiement utilise. Le module d'abonne ne peut 
se baser que sur les references de ses propres ressources (RES) (donnees ou 
fonctions). En acceptant les risques lies £ un equipement mobile, Pop6rateur fait un 
choix en sachant quelles ressources (RES) du module d'abonne sont utilisees par 
quelle(s) application(s) (APP) executees dans I'equipement mobile (CB). 

Dans une autre variante la signature faite a I'aide d'une cle du type RSA ou IDEA 
peut etre remplacee par un bloc genere avec une cle partagee HMAC (Keyed- 
20 Hashing for Message Authentication) a partir de Pensemble (IMSI, IMEISV, 
references de ressources du module d'abonne, compteur). HMAC est un mecanisme 
pour Pauthentification de messages par Putilisation de fonctions de hachage 
cryptographiques telles que MD5 (Message Digest) ou SHA-1 (Secure Hash 
Algorithm), en combinaison avec une cle partagee c'est-a-dire que la meme cl6 se 
25 trouve dans le serveur de controle (CSE) et dans le module d'abonn6. 

Cette cle presente a la fois dans le serveur de controle (CSE) et dans le module 
d'abonne peut etre chargee lors de la person nalisation du module d'abonne ou lors 
de Installation de certaines ressources dans le module d'abonn6. Selon les 
options, a chaque ressource ou groupe de ressources du module d'abonne peut 
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etre associee une cle differente, ou la cle peut etre globale pour I'ensemble des 
ressources et unique pour un module d'abonne donne. 

Pour plus de securite, lorsque le module d'abonne a recu un jeton (J), il peut 
retransmettre au serveur de controle (CSE), via I'equipement mobile (CB) et le 

5 reseau mobile (NET), un message de confirmation (CF) attestant la bonne reception 
et le traitement adequat du jeton (J) par le module d'abonne. La confirmation (CF) 
comprend au moins un code de succes ou d'erreur de I'operation ainsi qu'un 
compteur, similaire a celui du jeton (J), servant a la protection centre les attaques 
par repetition. Ce message permet aussi au serveur de contrdle (CSE) de tenir a 

1 0 jour le compteur associe au module d'abonne. 

Dans une variante de Invention, I'equipement mobile peut etre remplace par un 
equipement non mobile tel qu'un decodeur de television a peage ou un ordinateur. 
Le serveur de contrdle regoit de la part d'un module de securite, Equivalent du 
module d'abonne, I'identifiant de I'equipement connecte au reseau et I'identifiant du 
15 module de securite. En reponse, le serveur effectue les verifications telles que 
decrites plus haut et renvoie un cryptogramme au module de securite. Cette 
reponse va liberer ou bloquer des ressources dans le module de securite. 
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REVENDICATIONS 

1 . Methode de gestion de la securite d'applications (APP) fonctionnant dans un 
equipement (CB) connecte a un reseau (NET), ledit reseau (NET) etant administre 
par On serveur de contrdle (CSE) d'un operateur, lesdites applications utilisant des 
ressources (RES) (donnees ou fonctions) stockees dans un module de securite 
(SIM) relie localement audit equipement (CB), comprenant les etapes preliminaires 
suivantes: 

. reception de donnees comprenant au moins le type et la version de logiciel de 
I'equipement (CB) et I'identite du module de securite (SIM), via le reseau, par le 
serveur de controle, 

. analyse et verification par le serveur de controle (CSE) desdites donnees (ID), 
. generation d'un cryptogramme (J) a partir du resultat de la verification sur lesdites 

donnees (ID), et transmission dudit cryptogramme (J), via le reseau (NET) et 

I'equipement (CB), au module de securite (SIM), 
ladite methode est caracterisee en ce que le module de securite (SIM) analyse le 
cryptogramme (J) regu et active, respectivement desactive des ressources (RES) 
(donnees ou fonctions) utilisees par au moins une application (APP) installee dans 
I'equipement (CB), ledit cryptogramme (J) comprenant des instructions 
conditionnant le fonctionnement de Implication (APP) selon des criteres etablis par 
le fournisseur de ladite application et/ou I'operateur et/ou I'utilisateur de 
I'equipement. 

2. Methode selon la revendication 1 , caracterisee en ce que I'equipement (CB) 
est un equipement mobile de telephonie mobile. 

3. Methode selon la revendication 1, caracterisee en ce que le reseau est un 
reseau mobile du type GSM, GPRS ou UMTS. 

4. Methode selon les revendication 1 et 2, caracterisee en ce que le module de 
securite (SIM) est un module d'abonne insere dans I'equipement mobile de 
telephonie mobile de type carte SIM. 

5. Methode selon les revendications 1 a 4, caracterisee en ce que ('identification 
de I'ensemble equipement mobile / module d'abonne (SIM) est effectuee a partir de 
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I'identifiant (IMEISV) de requipement mobile (CB) et du numero d'identification du 
module d'abonne (IMSI) propre & un abonne au r6seau mobile. 

6. Methode selon la revendication 1 a 5, caracterisee en ce que les criteres 
definissent des limites d'utilisation d'une application (APP) selon des risques 
associ6s ladite application (APP) et au type et la version de logiciel de I'equipement 
mobile que Toperateur et/ou le fournisseur duplications et/ou I'utilisateur de 
T6quipement mobile desirent prendre en compte. 

7. Methode selon les revendications 1 a 6, caract6ris6e en ce qu'elle s'execute 
apres chaque connexion de I'equipement mobile au reseau. 

8. Methode selon les revendications 1 £ 6, caracterisee en ce qu'elle s'execute 
apres chaque mise a jour de la version de logiciel de requipement mobile. 

9. Methode selon les revendications 1 a 6, caracterisee en ce qu'elle s'execute 
apres chaque activation ou deactivation d'une application sur I'equipement mobile. 

10. Methode selon les revendications 1 a 6, caracterisee en ce qu'elle s'ex6cute 
apres chaque mise & jour de la version de logiciel du module d'abonne. 

1 1 . Methode selon les revendications 1 a 6, caracterisee en ce qu'elle s'execute 
apres chaque mise a jour de ressources sur le module d'abonne. 

12. Methode selon les revendications 1 a 6, caracterisee en ce qu'elle s'execute 
periodiquement a un rythme donne par le serveur de controle. 

13. Methode selon les revendications 1 a 6, caracterisee en ce qu'elle s'execute 
apres chaque demarrage d'une application sur I'equipement mobile. 

14. Methode selon Tune des revendications precedentes, caracterisee en ce que 
le module d'abonne (SIM), prealablement a I'execution des instructions donnees par 
le cryptogramme (J), compare I'identifiant (IMEISV) de I'equipement mobile (CB) 
avec celui precedemment regu et initie I'operation de verification seulement si 
I'identifiant (IMEISV) a change. 
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15. Methode seion les revendications 1 a 5, caracterisee en ce que le serveur de 
contrdle (CSE), prealablement a la transmission du cryptogramme (J), compare 
Tidentifiant (IMEISV) de I'equipement mobile avec celui precedemment regu et initie 
Toperation de verification seulement si Tidentifiant (IMEISV) a chang6. 

16. Methode selon les revendications 1 a 15, caracterisee en ce que le 
cryptogramme (J) est constitue par un message encrypte par le serveur de controle 
(CSE) a Taide d'une cle d'encryption asymetrique ou symetrique a partir d'un 
ensemble de donnees contenant, entre autres donnees, Tidentifiant (IMEISV) de 
I'equipement mobile (CB), le numero d'identification du module d'abonne (IMSI), des 
references de ressources (RES) du module d'abonne (SIM) et une variable 
predictible (CPT). 

17. Methode selon les revendications 1 a 16 caracterisee en ce que le module 
d'abonne transmet au serveur de controle (CSE), via I'equipement mobile (CB) et le 
reseau mobile (NET), un message de confirmation (CF) lorsque le module abonne 
(SIM) a reyu le cryptogramme (J), ledit message attestant la bonne reception et le 
traitement adequat du cryptogramme (J) par le module d'abonne (SIM). 

18. Methode selon la revendication 1, caracterisee en ce que I'equipement est un 
decodeur de television a peage ou un ordinateur auquel est connecte le module de 
securite. 

19. Module de securite comprenant des ressources (RES) destinees a etre 
localement accedees par au moins une application (APP) installee dans un 
6quipement (CB) reli6 & un r6seau (NET), ledit equipement comprenant des moyens 
de lecture et de transmission de donnees comprenant au moins Tidentifiant 
(IMEISV) de I'equipement et Tidentifiant (IMSI) du module de securite, ledit module 
etant caracterise en ce qu'il comprend des moyens de reception, d'analyse et 
d'execution d'instructions contenues dans un cryptogramme (J), lesdites instructions 
conditionnant le fonctionnement de Tapplication (APP) selon des criteres preetablis 
par le fournisseur de ladite application (APP) et/ou Toperateur) et/ou Tutilisateur de 
I'equipement (CB). 
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20. Module de securite selon la revendication 19, caracterise en ce qu'il constitue 
un module d'abonne du type "carte SIM" connecte a un 6quipement mobile. 
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